Política de correção de bugs de segurança
Para a Atlassian, é prioridade garantir que os sistemas dos clientes não sejam comprometidos explorando as vulnerabilidades nos produtos da Atlassian.
Escopo
Veja abaixo como e quando os bugs de segurança nos nossos produtos são resolvidos, mas observe que os processos de consultoria e divulgação que a gente segue não estão descritos por completo.
Objetivos de Nível de Serviço (SLO) de atualização de segurança
A Atlassian define Objetivos de Nível de Serviço para corrigir vulnerabilidades de segurança com base no nível de gravidade de segurança e no produto afetado. Foram definidos os seguintes cronogramas para corrigir problemas de segurança nos produtos:
Cronogramas de Resolução Acelerada
Os cronogramas são usados em todos os produtos baseados em nossa nuvem e em qualquer outro software ou sistema gerenciado por nós ou que esteja sendo executado na infraestrutura da Atlassian. Eles também são válidos para o Jira Align (tanto na versão de nuvem quanto na autogerenciada).
- Bugs de gravidade crítica devem ser corrigidos no produto no prazo de 2 semanas após serem relatados
- Bugs de gravidade alta devem ser corrigidos no produto no prazo de 4 semanas após serem relatados
- Bugs de gravidade média devem ser corrigidos no produto no prazo de 6 semanas após serem relatados
- Bugs de gravidade baixa devem ser corrigidos no produto no prazo de 25 semanas após serem relatados
Cronogramas de Resolução Estendida
Os cronogramas são válidos para todos os produtos autogerenciados da Atlassian. O produto autogerenciado é instalado pelo cliente nos sistemas gerenciados pelo cliente e inclui aplicativos móveis, de servidor, data center e desktop da Atlassian.
- Bugs de gravidade crítica, alta e média devem ser corrigidos no produto no prazo de 90 dias após serem relatados
- Bugs de gravidade baixa devem ser corrigidos no produto no prazo de 180 dias após serem relatados
Vulnerabilidades críticas
Quando uma vulnerabilidade de segurança crítica for descoberta pela Atlassian ou relatada por terceiros, a Atlassian vai:
- Lançar uma nova versão corrigida para a versão atual do produto afetado o mais rápido possível.
- Lançar uma versão de manutenção nova para uma versão anterior, da seguinte maneira:
Produto | Política de back port | Exemplo |
---|---|---|
Jira Software Server e Data Center Jira Core Server e Data Center Jira Service Management Server e Data Center (antes chamado Jira Service Desk) | Lançar novas atualizações de segurança para:
| Para uma atualização de segurança crítica desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
|
Confluence Server e Data Center | Lançar novas atualizações de segurança para:
| Para uma atualização de segurança crítica desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
|
Bitbucket Server e Data Center | Lançar novas atualizações de segurança para:
| Para uma atualização de segurança crítica desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
O Bitbucket 6.3.0 foi lançado em 14 de maio de 2019, mais de 6 meses antes da data da correção. Se fosse designado como uma versão de Suporte de longo prazo, também seria produzida uma versão de correção de bug. |
Versões de atualização de segurança serão lançadas apenas para as versões atual e anterior do recurso. | Para uma atualização de segurança crítica do Bamboo desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
|
Produto | Política de back port | Exemplo |
---|---|---|
Jira Software Server e Data Center Jira Core Server e Data Center Jira Service Management Server e Data Center (antes chamado Jira Service Desk) Confluence Server e Data Center Bitbucket Server e Data Center Bamboo Server e Data Center | Lançar novas atualizações de segurança para:
| Se uma atualização de segurança crítica for desenvolvida em 01/01/2020, as seguintes são versões de exemplo que receberiam a atualização de segurança:
As seguintes são exemplos de versões que não receberiam novas atualizações de segurança:
|
Todos os outros produtos (Crucible, Fisheye etc.) | Versões de atualização de segurança serão lançadas apenas para as versões atual e anterior do recurso. | Por exemplo, se uma correção de erros de segurança crítica do Crowd foi desenvolvida em 1º de janeiro de 2020, devem ser desenvolvidas as seguintes novas versões com a correção dos erros de segurança:
|
ProdutoJira Software Server e Data Center Jira Core Server e Data Center Jira Service Desk Server e Data Center |
Política de back portLançar novas atualizações de segurança para:
|
ExemploPara uma atualização de segurança crítica desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
|
ProdutoConfluence Server e Data Center |
Política de back portLançar novas atualizações de segurança para:
|
ExemploPara uma atualização de segurança crítica desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
|
ProdutoBitbucket Server e Data Center |
Política de back portLançar novas atualizações de segurança para:
|
ExemploPara uma atualização de segurança crítica desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
O Bitbucket 6.3.0 foi lançado em 14 de maio de 2019, mais de 6 meses antes da data da correção. Se fosse designado como uma versão de Suporte de longo prazo, também seria produzida uma versão de correção de bug. |
Produto |
Política de back portVersões de atualização de segurança serão lançadas apenas para as versões atual e anterior do recurso. |
ExemploPara uma atualização de segurança crítica do Bamboo desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
|
É importante ter a atualização de segurança mais recente do produto instalada (é uma prática recomendada). Por exemplo, se você estiver usando o Jira Software 7.5.0, faça upgrade para o Jira Software 7.5.3 . Se uma atualização de segurança nova for lançada, como o Jira Software 7.5.4, a diferença entre as duas versões vai ser mínima (apenas a correção de segurança), facilitando a aplicação.
O processo de resolução de vulnerabilidades críticas não se aplica aos produtos Atlassian Cloud, pois esses serviços são sempre corrigidos pela Atlassian e os clientes não precisam fazer nada.
Vulnerabilidades não críticas
Quando um item de segurança de gravidade Alta, Média ou Baixa for descoberto, a Atlassian vai incluir uma correção nos Objetivos de Nível de Serviço relevantes listados no início deste documento. A correção também pode ser adaptada para versões de Suporte de longo prazo, se possível.
Você deve fazer o upgrade das instalações quando sair uma atualização de segurança nova para garantir que as correções de segurança mais recentes foram implementadas.
Outras informações
O nível de gravidade das vulnerabilidades é calculado com base nos níveis de gravidade dos itens de segurança.
As políticas da Atlassian são sempre avaliadas com base no retorno dos clientes, e eventuais atualizações e alterações são apresentadas nesta página.